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(57) Abrege : L' invention concerne un procecte de transmission securisee et automatisee d'une information confidentielle, notam- 
ment d'un code d'identification, a un organisme d'authentification (3) lors d'une transaction avec un utilisateur (1) selon lequel on 
transmet une premiere partie d'une information confidentielle a T organisme d'authentification sur un premier reseau, carac tense" en 
ce qu'il comporte une 6tape selon laquelle rutilisateur (1) transmet la deuxieme partie de rinformation confidentielle, compl£men- 
taire de la premiere partie, a un interm6diaire neutre (4) sur un deuxieme r£seau (200) disjoint du premier r£seau, rinterm£diaire 
neutre (4) transmettant ensuite a T organisme d'authentification (3), sur un troisieme rgseau (300), la partie complementaire de Tin- 
formation confidentielle qu'il a recue. 
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PROCEDE ET SYSTEM E DE SECUR1SAT1QN 
DE TRANSMISSION 
CONFORMATIONS SUR PES RESEAUX 
DE TELECOMMUNICATION. 

5 

DOMAINE TECHNIQUE GENERAL. 

L'invention concerne un proced6 automatise de transmission 
s6curis6e d'informations confidentielles, comportant eventuellement des 
codes d'identification, sur deux reseaux de telecommunication disjoints, et 
10 6ventuellement non securis6s, notamment Internet et le r§seau 
t6lephonique. 

Plus precis6ment, IMnvention concerne un proc6de 6vitant le transit, le 
stockage et la reconstitution des informations confidentielles, dans leur 
integralite, meme de manfere transitoire, par un ou plusieurs interm6diaires 
15 entre un expediteur et un destinataire desdites informations confidentielles. 

Le proc6d6 permet en outre a un intermediate neutre de construire 
une trace de I'historique d'utilisation de Information confidentielle, de 
manidre anonyme et sans pour autant pouvoir la reconstituer dans son 
integralite. 

20 L'invention est particulterement apte £ la transmission d'un code de 

carte de paiement ou d'authentification dans le cadre de la s6curisation des 
paiements, et dans le cadre d'un acc£s distant & caractere confidentiel 
notamment, par transmission d'un mot de passe ou equivalent. 
ETAT DE L'ART. 

25 La transmission d'informations confidentielles, notamment de codes 

d'identification, sur des r6seaux publics et particulierement de num6ros de 
cartes de paiement ou de mots de passe, est essentielle pour finaliser via 
ces reseaux les transactions & distance, notamment commerciales, ou pour 
s'identifier via ces reseaux. 

30 Les utilisateurs, notamment les consommateurs en ligne, sont en effet 

r6ticents & transmettre les informations confidentielles, notamment leur 
num§ro de carte de paiement ou leur mots de passe, sur Internet ou sur un 
autre r6seau de telecommunication. Cette reticence est un frein important 
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au developpement des transactions, notamment commerciales, sur ces 
reseaux. 

Les craintes des utilisateurs sont notamment : 

- d'une part, la crainte d'un piratage de leurs informations 
5 confidentielles, via une ecoute du reseau lors de la transmission de ces 

informations confidentielles de I'expediteur vers le destinataire. Le piratage 
peut etre effectue par un tiers qui recupererait ainsi I'information 
confidentielle ; 

- d'autre part, la crainte du piratage de I'information confidentielle sur 
10 le serveur d'un intermediate, par exemple un prestataire de service, d'un 

marchand ou d'un tiers de confiance, ou simplement de la malhonnetete du 
dit intermediate. 

Ces deux craintes se resument par la peur que des personnes mal 
intentionnees puissent r6utiliser cette information confidentielle, par 
1 5 exemple un numero de carte de paiement ou un mot de passe, pour se faire 
passer pour I'utilisateUr. 

Ainsi, malgre la mise en place de systemes de cryptage des donnees 
lors de leur transfert, la mefiance reste de mise. 

Par ailleurs, dans le cas des achats en ligne par exemple, les craintes 
20 des fournisseurs de produits ou de services en ligne sont notamment : 

- d'une part, la crainte de repudiations excessives des achats en 
ligne due a la fraude, et parfois a la malhonnetete de certains utilisateurs, 
notamment des consommateurs en ligne; 

- d'autre part, la crainte d'attaques sur leurs serveurs, par des tiers 
25 mal intentionnes qui veulent recuperer toutes sortes d'informations 

identifiantes comme par exemple des mots de passe ou des numeros de 
cartes de paiement. Les mesures de securite ne sont jamais suffisantes et 
des milliers de numeros de cartes de paiement, de mots de passe ou toutes 
autres informations confidentielles disponibles sur un serveur sont une cible 
30 tres attractive pour des malfaiteurs. 

Les solutions apportees a ce probleme sont de trois types : 
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- soit un cryptage des donn6es, ail moins lore de la transmission, via 
des protocoles ou eventuellement materiels varies bien connus de rhomme 
de Tart comme par exemple, mais non limitativement, le protocole de 
transaction SSL ou « Secure Socket Layer» ou TLS « Transport Layer 

5 Security» selon la terminologie anglo-saxonne generalement utilisee par 
I'homme du metier, les protocoles SSL et TLS utilisant eux memes 
differents algorithmes de chiffrements, des protocoles d'authentification et 
des systemes de generation de certificats. 

- soit des precedes d'authentification avec inscription prealable chez 
10 un tiers de confiance ou Equivalent et qui imposent generalement la 

divulgation d'informations personnelles. L'utilisateur doit faire alors 
confiance en la capacite de ces prestataires et internrtediaires d'assurer la 
securite de I'authentification. De tels exemples de precedes sont divulgues 
dans les documents US 6 012 144 ou FR 2 806 229 par exemple. 

15 - soit des precedes dits « proprietaires » qui imposent I'adhesion de 

I'acheteur et du vendeur a un systeme technique, par exemple lecteur de 
carte ou systeme de generation de clef proprietaire, et qui necessitent une 
installation d'un logiciel, plug-in ou d'un materiel. C'est le cas notamment du 
precede divulgue dans le document WO 96/29667. 

20 Les premieres solutions de cryptage ne repondent pas aux craintes 

des utilisateurs puisque seule la transmission est securisee et que leurs 
informations confidentielles circulent toujours en un morceau (meme si par 
exemple le protocole internet decoupe I'information en paquets, ces 
derniers sont reconstitues et reconstituables) et sont stockees en un seul 

25 morceau. Par exemple le protocole de transmission securisee SSL permet 
une bonne protection de la transmission de donnees mais d'une part, il n'est 
pas impossible a decrypter, et d'autre part, il laisse intact le probleme a 
remission et a la reception des donnees. De plus, les utilisateurs ne 
percoivent pas forcement la securite du systeme car il a ete montre, 

30 notamment sur Internet, que de tels systemes, bases sur la transmission 
integrate et par une seule ou plusieurs voies de memes technologies, 
etaient une source de fraude. 
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Les secondes solutions & pr§ inscription ne conviennent pas a 
I'utilisateur car elles ne sont pas universelles et lui demandent des efforts 
description. Les secondes solutions ne conviennent pas non plus aux 
fournisseurs de produits ou services qui recherchent des solutions sans 
5 rupture de flux, c'est & dire ou la transaction est fluide, notamment pour 
I'utilisateur. 

Enfm, les solutions du troisfeme type n6cessitent un effet d'enrdlement 
de masse, notamment des consommateurs, et de plus elles requierent bien 
souvent un investissement financier ou en temps de la part de I'utilisateur 
10 pour en mattriser Installation ou I'usage. Finalement, ces solutions se sont 
6galement aver6es bien souvent tres couteuses pour le prestataire de 
service, le marchand ou I'organisme d'authentification. 

Par ailleurs, on constate que la transmission des informations 
confidentielles par t6l6copie, telephone, SMS, courrier et tout autre moyen 
15 de communication & distance, electronique ou autre, rassure certains 
utilisateurs bien que le risque de piratage des informations confidentielles 
dans ces cas soit tres 6lev6 et que ces solutions ne resolvent pas le 
probteme du stockage des informations. 

En conclusion la transmission d'une information confidentielle sur un 
20 r6seau comporte un risque au cours des Stapes suivantes : 

- la saisie de cette information sur un meme terminal car le terminal 
(clavier, ecran, etc..) peut etre espionne ; 

- la transmission sur le r6seau notamment le debut et la fin car 
rinformation meme cryptee peut etre capturee puis soit r6utilis6e 

25 directement soit decryptee ; 

- le stockage de cette information confidentielle chez un 
intermediaire, tiers de confiance ou fournisseur de produits ou 
services, car ce serveur peut etre un point faible de s6curite malgre 
les precautions prises et meme si un algorithme de cryptage, 

30 surtout s'il est de type reversible, est appliqu6 ; 

- les phases description sont particulterement vuln6rables, car en 
plus de rinformation confidentielle sont souvent transmises des 
informations personnelles. 
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PRESENTATION DE [.'INVENTION. 

L'invention propose de pallier les inconvenients evoques 
pr6cedemment. 

Un but de l'invention est d'assurer la transmission d'une information 
5 confidentielle ne nuisant pas a la fluidite de la transaction et etant tres 
convivial pour I'utilisateur. 

Un autre but de l'invention est de proposer une technique permettant 
de guider I'utilisateur dans les differentes etapes de la transmission 
d'informations. 

10 Un autre but de l'invention est de fournir un procede qui ne necessite 

pas d'inscription prealable aupres de I'intermediaire neutre assurant le 
transfert anonyme d'au moins une partie de I'information confidentielle. Elle 
s'oppose done partiellement a la notion bien connue de Thomme du metier 
de 'tiers de confiance' au sens ou le tiers de confiance est bien souvent 

15 depositaire d'informations personnels pouvant egalement etre 
confidentielles. 

Un autre but de l'invention est de fournir un procede ne necessitant 
pas en lui-meme d'installations particulieres chez I'utilisateur autre que les 
logiciels, materiels et moyens permettant de communiquer sur des reseaux 
20 mis en ceuvre lors de la transaction. Ainsi, la securisation de la transaction 
ne s'effectue pas au detriment de la fluidite de la transaction. 

Un autre but de l'invention est de permettre une meilleure identification 
de I'utilisateur lors de la transmission d'informations confidentielles tout en 
conservant une simplicity d'usage et en assurant I'anonymat de I'utilisateur. 

25 Selon cette invention la securite est assuree par la separation de 

I'information en deux parties complementaires non signifiantes separement, 
vehiculee sur deux reseaux disjoints via un intermediaire neutre et ne 
necessitant ni inscription de I'utilisateur chez cet intermediaire neutre, ni 
installation par I'utilisateur de logiciels et de materiels autres que ceux 

30 necessaires a la connexion sur les deux reseaux de telecommunication. 
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A cet effet, I'invention propose un precede de transmission s6curisee 
d'informations confidentielles, notamment d'un code d'identification, a un 
organisme d'authentification ou tout autre destinataire final, dit « organisme 
d'authentification », habilite a recevoir cette information lors d'une 

5 transaction avec un utilisateur. Ce precede est caracteris6 en ce que 
I'utilisateur separe I'information confidentielle qu'il veut transmettre a 
I'organisme d'authentification en deux parties compl6mentaires qui n'ont 
pas de valeur prises s§parement. 

On utilise ainsi une technique de securite disjointe permettant de 

10 transmettre de maniere simultanee et entierement automatisee deux parties 
complementaires d'une information confidentielle sur deux reseaux 
differents. Cette technique est un moyen tres sQr de transmission 
d'informations confidentielles si les parties v6hiculees sont sans valeur 
prises separement et s'il est impossible a un tiers de recoller les morceaux 

15 ce que permet le proc6d§ mis en ceuvre par I'invention. 

Le precede mis en ceuvre par I'invention met en place un 
intermediaire, appele « intermediaire neutre », qui permet de transmettre de 
manure anonyme et sans stockage d'informations susceptibles d'etre 
reconstitutes, une partie non utilisable seule d'une information 
20 confidentielle, notamment un code d'identification, via un reseau dit « le 
deuxieme reseau » distinct technologiquement du reseau dit « le premier 
reseau » qui sert quant a lui a transmettre I'autre partie complementaire de 
cette information confidentielle directement ou indirectement vers 
I'organisme authentificateur. 
25 Dans ce precede les donnSes stockees par I'intermediaire neutre le 

sont selon des techniques de cryptage non reversible dit « empreintes 
numeriques » bien connues de I'homme du metier, comme par exemple 
I'algorithme MD5 (« Message Digest 5» selon la terminologie anglo- 
saxonne et reference RFC1321) ou SHA1 (« US Secure Hash Algorithm 1» 
30 selon la terminologie anglo-saxonne et reference RFC3174) ou tout autre 
algorithme de cryptage a sens unique. Ainsi I'interm6diaire neutre ne peut 
pas reconstituer les informations qu'il stocke. Cette 'identification anonyme' 
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se fait par comparaison d'empreintes numeriques stockees avec I'empreinte 
numerique d'une combinaison identique des donnees transmises. A ce titre, 
le procede permet de batir un historique anonyme des transactions en 
stockant, par exemple, I'empreinte numerique d'une combinaison des 
5 coordonnees de l'utilisateur sur le deuxieme reseau avec la partie 
complementaire de I'information confidentielle recue par I'intermediaire 
neutre egalement sur le deuxieme reseau. A cette empreinte numerique 
peuvent etre associees des donnees statistiques de toutes sortes a des fins 
de classement, d'analyse et de determination de scores. 
1 0 L'utilisateur transmet une premiere partie de I'information confidentielle 

soit directement a I'organisme d'authentification, soit via un intermediate, 
par exemple un foumisseur de produits ou de services sur un premier 
reseau, par exemple Internet. 

A la demande de I'intermediaire neutre, lui-meme sollicite directement 
15 ou indirectement par I'organisme d'authentification, l'utilisateur transmet 
alors la deuxieme partie complementaire du code confidentiel a 
I'intermediaire neutre sur un deuxieme reseau disjoint du premier et utilisant 
par exemple des technologies ou protocoles de communication differents, 
I'intermediaire neutre transmettant ensuite a I'organisme d'authentification la 
20 partie du code qu'il a recu. 

Les echanges avec I'organisme d'authentification et eventuellement 
avec les fournisseurs de produits ou de services intervenant dans la 
transaction avec l'utilisateur sont securises point a point par des techniques 
de codage et de reconnaissance mutuelles bien connues de I'homme du 
25 metier, comme par exemple I'echange de certificats ou de cles, la 
transmission SSL, TLS, etc. Ce reseau securise entre deux points est dit 
« troisieme reseau ». Les premier et deuxieme reseaux sont des reseaux 
lies a l'utilisateur alors que le troisieme est un reseau entre I'intermediaire 
neutre, I'organisme d'authentification et eventuellement des fournisseurs de 
30 produits ou services intervenants dans la transaction. 

Cette separation de I'information en deux parties complementaires, 
transmises par des voies de communication disjointes et de technologies 
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differentes comme par exemple I'lnternet et le telephone, est facilement 
comprehensible par I'utilisateur qui transmet une partie de son information 
confidentielle par des moyens de telecommunication distincts. II en est 
naturellement rassure. 

5 Les deux reseaux possedent des moyens d'entree de donnees 

disjoints qui peuvent etre par exemple et non limitativement un clavier 
d'ordinateur, les touches d'un telephone, un systeme de reconnaissance 
vocale, un lecteur de carte, etc. Ceci permet d'eviter le piratage ou I'ecoute 
des donnees entrees par un terminal unique et notamment un clavier 

10 d'ordinateur. 

L'invention est avantageusement completee par les caracteristiques 
suivantes, prises seules ou en une quelconque de leurs combinaisons 
techniquement possible : 

- la transmission de la premiere partie de I'information confidentielle a 
15 I'organisme d'authentification s'effectue selon les etapes suivantes : 

- I'utilisateur transmet la premiere partie de I'information confidentielle a 
un foumisseur de produits ou de services sur le premier reseau ; 

- le foumisseur transmet ensuite la premiere partie a I'organisme sur un 
troisieme reseau ; 

20 - au moins un identifiant de session, partages entre au moins deux des 
acteurs de la transaction, permettent a I'organisme d'authentification de 
reconstituer automatiquement I'information confidentielle que I'utilisateur lui 
transmet ; 

- chaque identifiant de session est genere par au moins un des acteurs de 
25 la transaction ; 

- I'intermediaire neutre contacte automatiquement I'utilisateur sur le 
deuxieme reseau pour recuperer la deuxieme partie complementaire de 
1'information confidentielle ; 

- la communication sur le premier reseau entre I'utilisateur et I'organisme 
30 d'authentification ou le foumisseur de produits ou de service est transferee 

automatiquement vers I'intermediaire neutre de transaction ; 
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- I'utilisateur contacte I'intermediaire neutre sur le reseau pour transmettre la 
deuxieme partie complementaire de I'information confidentielle associee 
avec un identifiant de session ; 

- des coordonnees de rappel de I'utilisateur sur le deuxieme reseau sont 
5 transmises a I'intermediaire neutre par I'organisme d'authentification sur le 

troisieme reseau ; 

- des coordonnees de rappel de I'utilisateur sur le deuxieme reseau sont 
transmises a I'intermediaire neutre par le foumisseur de produits ou 
services sur le troisieme reseau ; 

10 - des coordonnees de rappel de I'utilisateur sur le deuxieme reseau sont 
transmises a I'intermediaire neutre par I'utilisateur sur le premier reseau ; 

- le troisieme r6seau est un reseau securise point a point ; 

- I'utilisateur est guide automatiquement par I'intermediaire neutre dans les 
differentes etapes du procede de transmission de la deuxieme partie de 

15 I'information confidentielle sur les premier et/ou deuxieme reseaux 
respectivement, de maniere codrdonnee et eventuellement synchronisee. 

- I'intermediaire neutre 6tablit un historique des transactions ; 

- I'historique etabli par I'intermediaire neutre est anonyme ; 

- I'anonymat de I'historique est assure par un codage non decryptable d'une 
20 combinaison des coordonnees de I'utilisateur sur le deuxieme reseau et de 

la deuxieme partie de I'information confidentielle transmise par I'utilisateur a 
I'intermediaire neutre sur le deuxieme reseau ; 

- I'intermediaire neutre emet un avis lie a I'historique de transaction de 
I'utilisateur sur le reseau ; 

25 - I'intermediaire neutre demande a I'utilisateur de fournir, en outre de 
I'information confidentielle a transmettre a I'organisme, un code personnel 
qui est utilise lors des transactions ulterieures et qui permet d'identifier 
I'utilisateur ; 

- le code personnel est transmis, par un reseau du type securise point a 
30 point, a un deuxieme organisme d'authentification aupres duquel I'utilisateur 

est prealablement inscrit ou connu ; 

- le code personnel est un code numerique et/ou vocal rentre sur un 
terminal en connexion avec le deuxieme reseau ; 
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- I'intermediaire neutre stocke en clair ou en crypte de maniere r6versible 
les coordonnees de I'utilisateur sur le reseau ; 

- I'intermediaire neutre stocke en clair ou de maniere reversible la deuxieme 
partie complementaire de I'information confidentielle fournie par I'utilisateur 

5 sur le reseau ; 

- I'intermediaire neutre recontacte I'utilisateur apres que ce dernier s'est 
deconnecte du premier reseau, ladite connexion au premier reseau etant 
retablie une fois que la deuxieme partie de I'information confidentielle a ete 
transmise a I'intermediaire neutre. 

10 Les principaux avantages de I'invention sont, de maniere non 

limitative, les suivants : 

- la securisation de la transmission d'informations par deux voies 
distinctes utilisant deux reseaux disjoints mettant en ceuvre par exemple 
deux technologies ou protocoles de communication differents, 

15 - la mise en confiance de I'utilisateur pour transmettre des informations 
confidentielles, notamment son numero de carte de paiement ou son 
mot de passe, en lui permettant de visualiser le processus assurant la 
securite, 

- la facility d'usage pour I'utilisateur par I'automatisation du processus et 
20 I'utilisation d'interfaces de guidage eventuellement coordonn6es en 

temps reel sur les deux reseaux, 

- la securisation de la saisie de I'information confidentielle par I'utilisation 
de deux terminaux d'entree des donnees disjoints, 

- Identification de I'utilisateur par connexion des moyens formant serveur 
25 de I'intermediaire neutre vers I'utilisateur, 

- la possibility de batir un historique anonyme des transactions en utilisant 
des empreintes numeriques, 

- la possibility d'une deuxieme identification eventuellement par un 
deuxieme organisme d'authentification afin de renforcer le niveau 

30 d'identification, 

- la securite et la confidentiality des transmissions entre I'intermediaire 
neutre et I'organisme d'authentification ou eventuellement un prestataire 
de service ou un marchand par I'utilisation de transmission point a point. 
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L'invention concerne egalement un systeme pour la mise en ceuvre du 
procede selon l'invention. 
PRESENTATION DES FIGURES 

D'autres caracteristiques, buts et avantages de l'invention ressortiront 
5 de la description qui suit qui est purement illustrative et non limitative et qui 
doit etre lue en regard des dessins annexes sur lesquels : 

- la figure 1 represente schematiquement les echanges d'informations 
entre un utilisateur, un fournisseur de produits ou de service, par 
exemple un marchand, un organisme d'authentification, par exemple 

10 une banque, et I'intermediaire neutre; 

- la figure 2 represente schematiquement les differentes etapes d'un 
procede de securisation des echanges d'informations entre un 
utilisateur, un fournisseur de produits ou services, par exemple un 
marchand, un organisme d'authentification, par exemple une banque, et 

1 5 I'intermediaire de securisation ; et 

- la figure 3 represente schematiquement un enchaTnement possible des 
differentes etapes d'un procede de securisation des echanges 
d'informations entre un utilisateur, un fournisseur de bien et de services, 
par exemple un marchand, un organisme d'authentification, par exemple 

20 une banque et I'intermediaire neutre. 
DESCRIPTION DETAILLEE. 

La figure 1 represente schematiquement les echanges d'informations 
entre un utilisateur 1, un fournisseur de produits ou services 2, un 
organisme d'authentification 3 et I'intermediaire neutre 4 lors d'une 

25 transaction quelconque en ligne sur un reseau de telecommunication. II faut 
noter ici que le transit d'une partie de reformation confidentieile via le 
fournisseur de produits ou services n'est pas indispensable a la 
transmission de I'information. Cette transmission peut se faire directement 
vers I'organisme d'authentification. En effet la securite et I'anonymat de la 

30 transmission reposant sur les echanges entre I'utilisateur 1, I'intermediaire 
neutre 4 et I'organisme d'authentification 3, la voie de transmission de 
I'autre partie de I'information confidentieile est moins importante. 



WO 2004/017269 



PCT/FR2003/002536 



12 

La figure 1 pr6sente des reseaux de communication comportant deux 
r6seaux disjoints et utilisant par exemple des technologies ou protocoles de 
communication differents formant les parties 100 et 200, et un reseau prive 
ou securise point a point formant la partie 300. 

5 Les doubles fleches 102, 105 et 106 symbolisent les echanges 

d'informations entre le foumisseur de produits ou services 2 et 
I'intermediaire neutre 4, I'intermediaire neutre 4 et I'organisme 
d'authentification 3, et le foumisseur de produits ou services 2 et 
I'organisme d'authentification 3 respectivement. Le lien 102 est optionnel 

10 car toutes les informations necessaires a I'activation de la transmission sur 
le deuxieme reseau peuvent transiter par I'organisme authentificateur 3. 

La premiere partie possible 100 du reseau de telecommunication 
permet une communication entre I'utilisateur 1 et le foumisseur de produits 
ou services 2 representee par la double fleche 101, ainsi qu'entre 

15 I'utilisateur 1 et I'intermediaire neutre 4 lors d'echanges 103. Elle est 
preferentiellement du type Internet et eventuellement, mais non 
necessairement, securisee. La premiere partie 100 peut done supporter tout 
type de caracteres devant etre transmis par I'utilisateur 1. La premiere 
partie 100 est necessairement disjointe de la partie 200 et utilise par 

20 exemple des technologies ou protocoles de communication differents de la 
partie 200. 

Dans les developpements qui vont suivre, on designe par Internet tous 
les reseaux informatiques 100 de terminal informatique a terminal 
informatique. La designation comprend notamment toutes sortes de 
25 r6seaux prives ou publics, comme intranet ou extranet par exemple. 

La deuxieme partie possible 200 du reseau de telecommunication 
permet une communication entre I'utilisateur 1 et I'intermediaire neutre 4 
lors d'echange 104. Elle est preferentiellement du type reseau telephonique. 
La deuxieme partie 200 est necessairement disjointe de la partie 100 et 
30 utilise par exemple des technologies ou protocoles de communication 
differents de la partie 100. 

Le reseau telephonique est, dans I'etat de I'art actuel, compose 
essentiellement de terminaux de telephonie a touches numeriques. Ainsi, 
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les donnees transmises par les terminaux sont numeriques dans I'etat de 

I'art actuel. L'evolution de I'etat de Tart pouvant permettre prochainement la 

transmission de tout type de caracteres. 

Ainsi, a I'extremite du reseau 100 situee pres de I'utilisateur 1, le 
5 systeme de mise en oeuvre du procede possible selon I'invention comporte 

d'une part des moyens 11 de connexion au reseau 100 et d'autre part des 

moyens de connexion 12 au reseau 200. 

Les moyens 11 communiquent avec des moyens 21 situes chez le 

fournisseur de produits ou services 2 et des moyens 41 situes chez le 
10 I'intermediaire neutre 4, afin de permettre les echanges 101 et 103 

respectivement. 

Les moyens 12 communiquent avec des moyens 42 situes chez 
I'intermediaire neutre 4, afin de permettre les echanges 104 sur la partie 
200 du reseau. 

15 Les moyens 11 comportent par exemple un terminal informatique dit 

« terminal web », puisque le reseau 100 est preferentiellement du type 
Internet. 

Les moyens 12 comportent par exemple des moyens formant une 
connexion telephonique fixe ou un telephone mobile puisque le reseau 200 
20 est preferentiellement du type reseau de telephonie fixe ou mobile. 

Le telephone 12 est avantageusement a touches et permet renvoi de 
codes DTMF « Dual Tone Multi-Frequency» selon la terminologie anglo- 
saxonne generalement utilisee ou tout autre protocole ou methode 
disponible sur ce moyen pour transmettre la partie de I'information 
25 confidentielle. 

Le procede selon I'invention est ainsi transposable aux systemes deja 
existants, puisque les telephones mobiles permettent I'envoi de codes 
DTMF et la tres grande majorite des telephones fixes sont maintenant a 
touches et frequence vocale permettant renvoi de codes DTMF. 
30 Dans le cas ou les moyens 12 de I'utilisateur 1 ne permettraient pas la 

transmission des codes DTMF, une variante du procede selon I'invention, 
utilise la reconnaissance vocale pour acquerir la deuxieme partie de 
I'information confidentielle. 
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A l'extremite du reseau 100 situee pres du fournisseur de produits ou 
services 2, le systeme comporte des moyens 21 formant serveur sur le 
reseau 100. Les moyens 21 comportent par exemple un serveur dit 
« serveur web ». 

5 Le fournisseur de produits ou services 2 peut ainsi echanger des 

donnees 101 avec I'utilisateur 1. 

La troisieme partie 300 du reseau de telecommunication est 
pr6ferentiellement du type apte a la transmission de donnees securisees 
point a point. 

10 A titre d'exemple non limitatif, ce peut etre un reseau de type VPN 

(Virtual Private Network), un reseau prive, un protocole de transmission 
securise point a point qui peuvent utiliser, par exemple, des messages 
signes par un MAC (Message Authentication Code) qui est un scellement 
calcule avec un algorithme, par exemple de type DES (Data Encryption 

15 Standard), et associe a une cle de scellement echangee avec les donnees. 
Cela peut etre egalement des transmissions SSL ou TLS avec echange de 
certificats entre les deux protagonistes. 

D'autres proced§s de transactions securisees point a point sont bien 
entendu connus de I'homme du metier et peuvent etre applicables au 

20 procede. Eventuellement de nouveaux precedes de securite peuvent se 
substituer aux protocoles connus actuellement. 

Ainsi, le systeme chez le fournisseur de produits ou services 2 peut 
comporter des moyens 23 aptes a gerer des transactions point a point 102, 
106. 

25 Encore une fois, le procede selon I'invention est transposable aux 

systemes de Tart anterieur, puisque la plupart des fournisseurs de produits 
ou services notamment sur Internet sont equipes de tels serveurs. lis 
utilisent souvent deja des protocoles de transfert securise de donnees point 
a point. 

30 Dans le cas oCi le fournisseur de produits ou service 2 ne possederait 

pas les moyens 23 aptes a la gestion de telles transactions, il en confie la 
prestation a un tiers agree par I'organisme d'authentification 3. Ledit tiers a 
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mis au prealable en place avec I'organisme authentificateur 3 les protocoles 
adequats de transfert. 

Les moyens 21 et 23 de I'organisme d'authentification 2 sont geres par 

des moyens 22. 

5 Les systemes aux extremites du reseau 300 situees chez I'organisme 

d'authentification 3 et I'intermediaire neutre 4 comportent des moyens 33 et 
43 respectivement permettant le traitement des flux d'information en 
transfert securise point a point. 

De plus I'organisme d'authentification 3 possede des moyens 31 
10 formant serveur d'authentification, ainsi que des moyens 32 permettant la 
gestion de I'ensemble des moyens 31 et 33. 

On rappelle ici que le terme « organisme d'authentification» fait 
reference a un organisme bancaire ou financier, mais plus generalement a 
un organisme habilite a effectuer une authentification quelconque. 
15 L'intermediaire neutre 4 est relie aux moyens 12 sur le reseau 200 par 

I'intermediaire de moyens 42 formant serveur. Les moyens 42 comportent 
par exemple un serveur telephonique comme par exemple des moyens IVR 
(Interactive Voice Response) ou equivalents bien connus de I'homme du 
metier. 

20 Les moyens 42 sont aptes par exemple a effectuer des appels 

telephoniques 104, faire des appels differes, filtrer les codes DTMF, diffuser 
des messages et enregistrer des appels ainsi que toutes possibilites 
offertes par les systemes informatiques couples a la telephonie pour 
echanger des informations avec I'utilisateur 1 . Les moyens 42 sont connus 
25 de I'homme du metier. 

De plus, l'intermediaire neutre 4 est relie aux moyens 1 1 sur le reseau 
100 par I'intermediaire de moyens 41 formant serveur. Les moyens 41 
comportent par exemple un serveur web. 

Enfin, I'intermediaire neutre 4 est relie aux moyens 33 sur le reseau 
30 300 par I'intermediaire de moyens 43 formant serveur point a point. 

La transmission d'une partie complementaire des donnees 
confidentielles via le fournisseur de produits ou services 2 est possible et 
souvent mise en ceuvre, mais non indispensable au fonctionnement du 
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proc6d§ pr6sent6 qui ne repose pas sur la s6curite de cette voie de 
transmission, et peut done avantageusement s'effectuer directement vers 
I'organisme d'authentification 3. 

Dans la prtsente description, le terme «d , information confidentielle» 
5 dtsigne tous les types de codes alphanumeriques, numeriques ou binaires 
confidentiels et/ou informations Itees & une indentification ou transmission 
secrete. Ceia peut etre par exemple, mais non limitativement, un numtro de 
carte de paiement ou un code d'authentification propre & un systerne de 
s6curit6. 

10 Prtferentiellement, la partie de I'information confidentielle transmise 

par le rtseau teltphonique est numerique dans l'6tat de Tart actuel. Uautre 
partie de Tinformation confidentielle est, quant & elle, prtferentiellement 
alphanumerique si les reseaux le supportent. 

Les termes « dtbut de information confidentielle » et « fin de 
15 Tinformation confidentielle » ou plus gentralement « partie de I'information 
confidentielle >> d6signent deux parties disjointes de I'information 
confidentielle. Les parties disjointes n'ont pas de signification lorsqu'elles 
sont prises separement et ne peuvent etre reconstitutes dans un procede 
selon invention, puisqu'elles transitent par des chemins differents, et ne 
20 sont reconstitutes que par Torganisme authentificateur 3. 

La taille des difftrentes parties est indifferente, tant que ces deux 
parties sont strictement complementaires et non significatives en terme 
d'identification ou de confidentiality lorsqu'elles sont prises separement. 
Elles ne sont done pas forctment de la meme taille. 
25 Preferentiellement, on utilise, dans un mode de mi.se en ceuvre 

possible du procedt, deux acteurs, a savoir le fournisseur de produits ou 
services 2 et I'intermtdiaire neutre 4, pour la transmission des informations 
confidentielles entre Tutilisateur 1 et I'organisme d'authentification 3. 

Le fournisseur de produits ou services 2 et I'intermtdiaire neutre 4 
30 sont en communication avec I'utilisateur 1 selon deux modes de 
communication utilisant par exemple des technologies ou protocoles de 
communication differents, respectivement le reseau Internet 100 et le 
reseau teltphonique 200. 
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Ainsi, chacun transmet a I'organisme d'authentification 3, et par le 
reseau 300, une des deux parties de 1'information confidentielle. 

Les flux d'informations echangees entre les differents acteurs sont 
representes schematiquement par les doubles fleches 101, 102, 103, 104, 
5 105 et 106. 

Les flux sont decrits de facon plus detaillee sur la figure 3, laquelle 
reprend les memes numerotations qu'aux figures 1 et 2 pour des elements 
identiques. 

Les figures 1 et 3 represented des modes de mise en ceuvre 
10 possibles de invention dans lesquels les differents acteurs sont des entites 
differentes. 

Cependant, il est possible que la voie de transmission utilisateur 1 vers 
I'organisme d'authentification 3 via le fournisseur de produits ou services 2 
soit simplifiee si la transmission de I'information confidentielle s'effectue 
15 directement entre I'utilisateur 1 et I'organisme d'authentification 3. Dans ce 
cas, les moyens des acteurs 2 et 3 sont regroupes dans I'organisme 
d'authentification 3. Dans ce cas, les differents serveurs presentes comme 
utiles pour la realisation du precede peuvent fonctionner sur le meme 
moyen ou meme faire partie integrante d'un meme programme. Les modes 
20 de transfert entre les differents acteurs restent les memes que ceux visibles 
aux figures 1 et 3. 

En effet selon ce precede c'est la voie via I'intermediaire neutre 4 qui 
est primordiale pour assurer la securisation de la transmission de 
1'information confidentielle. 
25 Dans tous les modes de mise en ceuvre du precede selon I'invention, 

aucune inscription prealable de I'utilisateur 1 n'est necessaire. 

L'invention est utilisable pour des transactions de commerce 
electronique, et de maniere plus generate, pour tout processus 
d'authentification et de transfert de donnees. 
30 Avantageusement, le precede comporte les etapes selon lesquelles : 

- L'utilisateur 1 separe I'information confidentielle en deux parties 
complementaires et distinctes, mais inutilisables independamment I'une de 
I' autre ; 
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- L'utilisateur 1 transmet chacune des deux parties du code par des 
moyens de communication distincts, par le reseau 100 au fournisseur de 
produits ou services 2, et par le reseau 200 a I'intermediaire neutre 4. Dans 
la presente description, la transmission d'une partie de I'information 

5 confidentielle au fournisseur de produits ou services 2 est effectuee par 
exemple par un reseau Internet et la transmission de I'autre partie de 
I'information confidentielle a I'intermediaire neutre 4 est effectuee par 
exemple par un reseau telephonique. Avantageusement, les informations 
transmises sur les reseaux sont non reconciliables par un tiers. On rend 

1 0 ainsi sans valeur le piratage et I'ecoute des communications ; 

- Le fournisseur de produits ou de services 2 et I'intermediaire neutre 4 
transmettent a I'organisme d'authentification 3 la partie de code qui leur a 
ete transmise par l'utilisateur 1 . 

Ainsi, selon le procede de I'invention, seul I'organisme 
15 d'authentification 3 recupere I'integralite de I'information. Ni le fournisseur 
de produits ou services 2, ni I'intermediaire neutre 4 n'ont acces a 
I'integralite de I'information. 

Les deux parties de Tinformation, une fois reunies par I'organisme 
d'authentification 3, ne transitent plus que sur des reseaux prives ou 
20 secu rises reputes non accessibles. 

De fait, aucun intermediate n'a connaissance de I'ensemble de 
I'information confidentielle, et aucun ne peut stacker I'integralite du code 
confidentiel. 

L'invention concerne egalement I'utilisation qui peut etre faite par 
25 I'intermediaire neutre 4 d'empreintes numeriques de couples formes par les 
coordonnees de l'utilisateur 1 sur le reseau 200, par exemple le numero de 
telephone, et une partie non signifiante d' informations confidentielles recue 
par I'intermediaire neutre de l'utilisateur 1 . 

Lors de chaque transaction, I'intermediaire neutre 4 peut stacker ces 
30 empreintes numeriques dans une base de donnees ou equivalent, par 
exemple comprise dans les moyens 44. 

Ces empreintes numeriques permettent de construire au niveau de 
I'intermediaire neutre 4 un historique des transactions pouvant etre utilise, 
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non seulement a des fins de statistique ou reporting, mais aussi par 
exemple a des fins de qualification du risque potentiel client, en fonction du 
bon reglement ou non de la transaction lors des tentatives anterieures. 

Les donnees sont stockees sous une forme d'empreinte numerique, 
5 par exemple en utilisant un mecanisme de type MD5 ou SHA1 . 

L'historique ainsi cree ou les donnees statistiques associees a cet 
historique pourront eventuellement §tre fournis au fournisseur de produits 
ou services 2 ou a I'organisme d'authentification 3 lorsqu'un utilisateur 
transmet a I'intermediaire neutre 4 un couple constitue d'une meme partie 
10 d'information et en utilisant les memes coordonnees sur le reseau 200 et 
dont I'empreinte numerique est stockee par I'intermediaire neutre 4. Ainsi, 
I'intermediaire 4 peut indiquer au fournisseur de produits ou services 2 si 
sont associes a ce couple des problemes de paiement par exemple. 

De meme, il est possible d'indiquer au fournisseur de produits ou 
15 services 2 ou a I'organisme d'authentification 3 si c'est la premiere fois 
qu'un tel couple est entre. 

On indique ainsi au fournisseur de produits ou services 2 ou a 
I'organisme authentificateur 3 les transactions qui presentent un risque. 

En tout etat de cause, le fait de devoir foumir dans le mode de 
20 realisation prefere un numero de telephone, qui a une tracabilite 
relativement importante, permet de decourager une certaine categorie de 
clients malhonnetes. 

L'intermediaire neutre 4 ne stocke pas en clair les coordonnees de 
I'utilisateur 1 sur le reseau 200 sauf des coordonnees appartenant a une 
25 liste de numeros interdits, comme par exemple les numeros de cabines 
telephoniques publiques ou des numeros utilises par des fraudeurs 
potentiels ou juges a risque. Potentiellement aucune transmission 
d'information ne sera possible a partir de ces coordonnees. 

II est ainsi possible de securiser les transactions, et de reduire les prix 
30 des polices d'assurance qu'est souvent amene a contracter le fournisseur 
de produits ou services 2 dans la situation de Tart anterieur. 

On va maintenant decrire plus en detail les differentes etapes du 
procede selon l'invention. L'exemple suivant presente une possibility 
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d'integration mais ne couvre pas I'ensemble du champ des applications 
possible du proced6. Par exemple, il s'agit dans cet exemple de reglement 
d'achats en ligne par carte de paiement, mais il pourrait egalement s'agir 
d'une authentification quelconque, sans qu'il y ait forcement achat. Ainsi le 
5 code a transmettre n'est pas forcement le numero d'une carte de paiement. 

La figure 2 presente un mode de mise en ceuvre d'une transaction sur 
un premier reseau du type Internet et un deuxieme de type telephonique. 

La figure 3 reprend schematiquement, et avec les memes references 
numeriques, les flux d'informations s'echangeant entre les differents acteurs 
10 lors de la mise en ceuvre du procede selon les etapes de la figure 2. 

A I'etape 201 de la figure 2, apres avoir par exemple selectionne des 
articles dans le catalogue d'un foumisseur de produits ou services 2, 
I'utilisateur 1 decide de valider son panier d'articles. 

A I'etape 202, au cours du processus de validation de la commande, le 
15 foumisseur de produits ou services 2 demande a I'utilisateur 1 de lui 
transmettre les informations necessaires a I'envoi et au paiement des 
produits de la commande. 

Parmi ces informations, le foumisseur de produits ou services 2 ne 
demande que par exemple les huit premiers chiffres du numero de carte de 
20 paiement de I'utilisateur 1 . La transaction s'effectue de preference en mode 
securise type SSL. 

A I'etape 203, I'utilisateur 1 envoie les informations demandees au 
foumisseur de produits ou services 2. 

A I'etape 204, le foumisseur de produits ou services 2 genere un 
25 identifiant de session. C'est un identifiant propre a la transaction. II va 
permettre aux differents acteurs d'echanger des informations relatives a 
cette transaction. Cet identifiant peut, selon une variante, etre genere par 
I'organisme d'authentification 3 en reponse a la demande du foumisseur de 
produits ou services 2, lors des etapes 205 ou 207 detaillees plus bas. 
30 A ce stade, le foumisseur de produits ou services 2 peut stocker les 

informations en attente de paiement dans une base de donnees, par 
exemple comprise dans les moyens 22, avec, par exemple, pour cle 
I'identiftant de session. 
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A l'6tape 205, le fournisseur de produits ou services 2 envoie a 
I'organisme d'authentification 3 la premiere partie du numero de carte de 
paiement accompagnee de I'identifiant de session si c'est lui qui I'a genere, 
ainsi que les autres donnees necessaires pour finaliser la transaction avec 
5 I'organisme d'authentification 3. Les autres informations necessaires sont 
par exemple la date d'expiration de validite de la carte paiement, le montant 
de la transaction, etc. 

Les donnees necessaires a I'organisme d'authentification 3 sont 
transmises en mode securise point a point comme represents a la figure 1 . 
10 A I'etape 206, I'organisme d'authentification 3 stocke les donnees 

transmises par le fournisseur de produits ou services 2 en attendant les 
Informations complementaires en provenance de I'intermediaire neutre 4, 
avec pour cle, par exemple, I'identifiant de session et I'identifiant du 
fournisseur de produits ou services 2. 
15 Simultanement aux etapes 205, 206, se deroule I'etape 207 selon 

laquelle I'utilisateur 1 est alors redirige, selon des moyens bien connus de 
I'homme du metier, vers le site de rintermediaire neutre 2 en passant 
i'identifiant de session en parametre. 

Selon une variante, si le fournisseur de produits ou services 2 possede 
20 deja le numero de telephone de I'utilisateur 1 ou bien s'il veut transmettre a 
rintermediaire 4 d'autres informations sur la transaction, comme par 
exemple la langue a utiliser ou le nombre de caracteres a recuperer, il peut 
les lui transmettre en parallele via une liaison securisee point a point 102. 
A I'etape 208, si aucun numero de telephone ne lui a ete transmis, 
25 I'intermediaire neutre 4 demande a I'utilisateur 1 un numero auquel ce 
dernier peut etre contacte immediatement. II s'agit alors d'un numero de 
telephone fixe ou telephone mobile. 

Si necessaire et pour des raisons de contort et d'interactivite, le 
numero de telephone peut etre demande a I'utilisateur 1, s'il n'a pas ete 
30 transmis au prealable lors de I'etape 202 et transmis par I'utilisateur 1 a 
I'etape 203. Dans ce cas, lors de l'6tape 207, le numero est transmis a 
I'intermediaire 4 de transaction. 
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A l'etape 209, l'intermediaire neutre 4 gere tout ce qui concerne I'appel 
t6lephonique et ceci comprend notamment la detection du mauvais format 
du numero ou I'appartenance du numero a une liste de numeros a risque. II 
peut s'agir notamment des numeros de cabines telephoniques sur la voie 
5 publique par exemple ou numeros utilises lors de precedentes tentatives 
frauduleuses ou considerees comme risquees. L'intermediaire neutre 4 gere 
egalement la detection d'occupation de ligne, la detection de numeros ou 
indicatifs internationaux inexistants, etc. 

Des reponses appropriees a chaque cas sont apportees. 
10 Par exemple, une correction du numero de telephone par I'utilisateur 1 

est demandee. II est possible aussi de fournir un rappel en differe et/ou en 
mode vocal, ou une annulation de la transaction. 

L'intermediaire neutre 4 verifie aussi si I'utilisateur 1 utilise ce 
telephone comme acces sur le reseau Internet 100. Dans ce cas, il est 
15 demande a I'utilisateur 1 de terminer sa connexion Internet. II est alors 
rappele automatiquement, par exemple cinq minutes plus tard, et guide 
dans les etapes 210 a 212 en mode vocal par exemple. 

L'etape de fin de guidage vocal se termine alors par renvoi d'un 
courrier electronique, avec une adresse - ou URL (Uniform Resource 
20 Locator) selon la terminologie anglo-saxonne - incluse, qui lui permet de 
poursuivre sa transaction une fois qu'il est reconnecte. Selon des variantes 
possibles, ce message electronique ou courriel (email selon la terminologie 
anglo-saxonne) peut etre envoye a I'issue des etapes 213 a 220 ou etre 
remplace par un lien au niveau de l'etape 209. 
25 Selon une variante possible, si le numero de carte de paiement de 

I'utilisateur 1 n'est pas valide par I'organisme d'authentification 3, alors 
l'intermediaire neutre 4 rappelle I'utilisateur 1 . 

A l'etape 210, I'utilisateur 1 regoit un appel telephonique de la part de 
l'intermediaire neutre 4. II est guide sur son terminal telephonique et/ou sur 
30 son terminal web. Les messages pouvant etre coordonnes et synchronises 
entre les deux reseaux par les moyens de l'intermediaire neutre 4. 

A l'6tape 211, I'utilisateur 1 entre sur son terminal 12, dans notre 
exemple le telephone, les chiffres complementaires des chiffres entres sur 
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le reseau 100, dans notre exemple les huit derniers chiffres de son numero 
de carte de paiement. 

II valide I'entree des num.eros sur son terminal 12, par exemple en 
appuyant sur la touche '#'. 
5 Si le telephone 12 de I'utilisateur 1 n'est pas a frequence vocale, alors 

il peut selon une variante du procede entrer les numeros via un systeme de 
reconnaissance vocale. 

Lors de I'etape 212, I'intermediaire neutre 4 verifie qu'il a bien recu le 
bon nombre de chiffres, a savoir dans notre exemple huit, puis la connexion 
10 telephonique sur le reseau 200 est terminee. II invite eventuellement 
I'utilisateur 1 a corriger les erreurs, par exemple de saisie de numero. 

L'empreinte numerique du couple numero de telephone + huit derniers 
chiffres du numero de carte de paiement est stockee et utilisee pour 
identifier de maniere anonyme I'utilisateur 1 lors des utilisations suivantes. 
15 En variante, lors de la premiere transaction avec I'intermediaire neutre 

4, I'utilisateur 1 entre un code additionnel dit code personnel, soit en 
reprenant un code qui lui serait fournis par ailleurs, soit en composant un 
code de son choix lors de la premiere transaction. 

L'empreinte numerique du couple numero de telephone + code 
20 personnel est stockee et utilisee pour identifier de maniere anonyme 
I'utilisateur 1 lors des utilisations suivantes. 

En variante egalement, le code personnel est remplace par une 
signature vocale. L'utilisateur 1 en fin de transaction est amene a prononcer 
son nom. Cette signature vocale est stockee et pourra etre utilisee en cas 
25 de litige. 

Selon encore une variante, le code personnel est remplace par une 
empreinte vocale au choix de I'utilisateur ou predefinie. 

Lors des utilisations suivantes du couple numero de telephone + huit 
derniers chiffres du numero de carte de paiement reconnu automatiquement 
30 par comparaison d'empreinte numerique, le code personnel sera 
redemande et valide par comparaison avec l'empreinte numerique du 
couple numero de telephone + code personnel. 
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A I'etape 213, I'intermediaire neutre 4 transmet a I'organisme 
d'authentification 3 les huit derniers chiffres regus et I'identifiant de session 
en mode securise point a point. 

Lors de I'etape 214, I'organisme d'authentification 3 recoit les 
5 donnees. Grace a I'identifiant de session, I'organisme d'authentification 3 
retrouve les huit premiers chiffres du numero de carte de paiement 
precedemment stocke lors de I'etape 206. 

Lors de I'etape 215, le numero de carte de paiement complet est 
reconstitu6 par I'organisme d'authentification 3. 
10 A I'etape 216, I'organisme d'authentification 3 valide ou ne valide pas 

la transaction et genere une reponse. 

En 217, la reponse est transmise parallelement par une transmission 
securisee point a point 106 vers le foumisseur de produits ou services 3 et 
eventuellement I'intermediaire neutre 4 via une transmission securisee point 
15 a point 105. 

Ensuite, lors de I'etape 218, I'intermediaire neutre 4 envoie 
eventuellement le numero de telephone ayant servi a la transaction au 
foumisseur de produits ou services 2, via une transmission securisee point 
a point 102. C'est un numero de telephone valide et bien lie a I'utilisateur 1, 
20 qui constitue ainsi une trace de I'utilisateur 1 . Ce numero n'est pas stocke 
en clair chez I'intermediaire neutre 4 sauf en cas de fraude. II est stocke 
sous forme incomplete, par exemple avec deux chiffres masques dans un 
fichier de trace de I'intermediaire neutre 4 dans un but de facturation. II est 
aussi stocke sous forme d'empreinte numerique dans des moyens formant 
25 base de donnees de I'intermediaire neutre 4. 

En 219, I'intermediaire neutre 4 termine le dialogue avec I'utilisateur 1. 
L'utiiisateur 1 est alors redirige, selon des moyens bien connus de I'homme 
du metier, vers le site du foumisseur de produits ou services 2 en passant 
I'identifiant de session en parametre. 
30 Enfin en 220, le foumisseur de produits ou services 2 termine la 

transaction avec I'utilisateur 1 , par exemple en confirmant la transaction. 

Comme indique plus haut dans la description, selon une variante 
preferee, I'intermediaire neutre 4 peut stacker une empreinte du numero de 
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telephone + les huit derniers chiffres du numero de carte de paiement, lui 
permettant de construire un historique anonyme des transactions et d'y 
associer des donnees statistiques. 

De plus I'intermediaire neutre 4 peut egalement transmettre en temps 

5 reel au fournisseur de produits ou services 2 ainsi qu'a I'organisme 
d'authentification 3 un score ou des statistiques diverses concernant 
I'historique des transactions utilisant ce couple numero de telephone + huit 
derniers chiffres du numero de carte de paiement. Les informations ainsi 
transmises peuvent permettre au fournisseur de produits ou services 2 de 

10 decider en temps reel de terminer ou de ne pas terminer la transaction. Les 
fraudes sont ainsi limitees pour le fournisseur de produits ou de services 2 
mais aussi pour I'organisme authentification 3. 

Ainsi, le procede selon I'invention possede de nombreux avantages, 
dont notamment le fait d'utiliser des voies de transmission classiques et 

1 5 facilement accessibles telles que 

- des transmissions sur le reseau Internet 100 ouvert, dont I'acces est 
relativement aise. Ces transmissions peuvent etre eventuetlement 
securisees. 

- des transmissions dites point a point entre deux sites certifies qui 
20 peuvent transiter, soit via le reseau Internet avec des precedes de 

scellement de donn6es, de cryptage et/ou d'echange de cles ou 
certificats, soit sur d'autres reseaux, notamment prives, garantissant une 
confidentialite point a point 300. Ces transmissions sont privatives entre 
des professionnels reconnus (les organismes d'authentification 
25 notamment les banques, leurs prestataires agrees). 

- enfin des liaisons aboutissant sur le reseau telephonique 200. 

Seul le destinataire final, I'organisme d'authentification 3 a acces a 
I'ensemble des informations confidentielles. 

L'intermediaire 4 est neutre ne connatt rien d'autre de I'utilisateur que 
30 son num6ro de telephone et il n'a meme pas besoin de stocker ce numero 
de telephone en clair ou crypte de maniere reversible. 
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Avantageusement, I'intermediaire neutre 4 peut appeler des 
utilisateurs 1 dans le monde entier. Dans ce cas, avantageusement, la 
grandeur du reseau 200 est transparente pour chaque utilisateur 1. Le 
reseau 200 s'adapte ainsi au reseau 100 qui est souvent a I'echelle 
5 mondiale, pour Internet notamment. 

Toutes les etapes du precede sont automatisees, sans intervention 
humaine et interactives. 

Dans une mise en ceuvre preferee, tout au long du deroulement du 
precede, I'utilisateur 1 reste en contact simultane sur Internet via les 
10 moyens 41 de I'intermediaire neutre 4, et la liaison telephonique 200 avec 
les moyens 42 de I'intermediaire neutre 4. 

Les transactions sont hautement securisees par le systeme du rappel 
de I'utilisateur 1 par I'intermediaire neutre 4. 

L'utilisateur mefiant peut memoriser le numero de telephone qui I'a 
1 5 rappele s'il a un affichage des appels entrants, ou I'obtenir par prestation de 
service des operateurs de telephonie afin de verifier I'identite du serveur 
appelant. 
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REVENDICATIONS 

1. Procede de transmission securisee et automatisee d'une information 
confidentielle, notamment d'un code d'identification, a un organisme 

5 d'authentification (3) lors d'une transaction avec un utilisateur (1) selon 
lequel on transmet une premiere partie d'une information confidentielle a 
I'organisme d'authentification sur un premier reseau, caracterise en ce qu'il 
comporte une etape selon laquelle I'utilisateur (1) transmet la deuxieme 
partie de I'information confidentielle, complementaire de la premiere partie, 

10 a un intermediaire neutre (4) sur un deuxieme reseau (200) disjoint du 
premier reseau, I'intermediaire neutre (4) transmettant ensuite a I'organisme 
d'authentification (3), sur un troisieme reseau (300), la partie 
complementaire de I'information confidentielle qu'il a recue. 

15 2. Procede selon la revendication 1, caracterise en ce que la saisie des 
deux parties complementaires se fait sur des terminaux disjoints. 

3. Procede selon I'une des revendications 1 ou 2, caracterise en ce que la 
transmission de la premiere partie de I'information confidentielle a 

20 I'organisme d'authentification (3) s'effectue directement entre I'utilisateur (1 ) 
et ledit organisme (3) sur le premier reseau. 

4. Procede selon I'une des revendication 1 ou 2, caracterise en ce que la 
transmission de la premiere partie de I'information confidentielle a 

25 I'organisme d'authentification (3) s'effectue selon les etapes suivantes : 

- I'utilisateur (1) transmet la premiere partie de I'information confidentielle 
a un foumisseur de produits ou de services (2) sur le premier reseau 
(100); 

- le foumisseur (2) transmet ensuite la premiere partie a I'organisme (3) 
30 sur un troisieme reseau (300). 

5. Proc6de selon I'une des revendications 1 a 4, caracterise en ce qu'au 
moins un identifiant de session, partages entre au moins deux des acteurs 
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(1 , 2, 3, 4) de la transaction, permettent a I'organisme d'authentification (3) 
de reconstituer automatiquement I'information confidentielle que I'utilisateur 
(1) lui transmet. 

5 6. Precede selon la revendication 5, caracterise en ce que chaque 
identifiant de session est genere par au moins un des acteurs (1, 2, 3, 4) de 
la transaction. 

7. Procede selon I'une des revendications 1 a 6, caracterise en ce que des 
10 coordonnees de rappel de I'utilisateur (1) sur le deuxieme reseau (200) sont 

transmises a rintermediaire neutre (4) par I'organisme d'authentification (3) 
sur le troisieme reseau (300). 

8. Procede selon I'une des revendications 1 a 6, caracterise en ce que des 
1 5 coordonnees de rappel de I'utilisateur (1 ) sur le deuxieme reseau (200) sont 

transmises a I'intermediaire neutre (4) par le foumisseur (2) de produits ou 
services sur le trbisfeme reseau (300). 

9. Procede selon I'une des revendications 1 a 8, caracterise en ce que la 
20 communication sur le premier reseau (100) entre I'utilisateur (1) et 

I'organisme d'authentification (3) ou le fournisseur de produits ou de service 
(2) est transferee automatiquement vers I'intermediaire neutre (4) de 
transaction. 

25 10. Procede selon la revendication 9, caracterise en ce que des 
coordonnees de rappel de I'utilisateur (1) sur le deuxieme reseau (200) sont 
transmises a rintermediaire neutre (4) par I'utilisateur (1) sur le premier 
reseau (100). 

30 11. Procede selon I'une des revendications 1 a 10, caracterise en ce que 
I'intermediaire neutre (4) contacte automatiquement I'utilisateur (1) sur le 
deuxieme reseau (200) pour recuperer la deuxieme partie complementaire 
de I'information confidentielle. 
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12. Precede selon Tune des revendications 1 a 6, caracterise en ce que 
I'utilisateur (1) contacte I'intermediaire neutre (4) sur le reseau (200) pour 
transmettre la deuxieme partie complementaire de I'information 

5 confidentielle associee avec un identifiant de session. 

13. Precede selon I'une des revendications 1 a 12, caracterise en ce que le 
troisieme reseau (300) est un reseau securise point a point. 

10 14. Precede selon I'une des revendications 1 a 13, caracterise en ce que 
I'intermediaire neutre (4) demande a I'utilisateur (1) de fournir, en outre de 
I'information confidentielle a transmettre a I'organisme (3), un code 
personnel qui permet d'identifier I'utilisateur (1). 

15 15. Precede selon la revendication 14, caracterise en ce que le code 
personnel est transmis, par un reseau du type securise point a point, a un 
deuxieme organisme d'authentification aupres duquel I'utilisateur (1) est 
prealablement inscrit ou connu. 

20 16 Precede selon I'une des revendications 14 ou 15, caracterise en ce que 
le code personnel est un code numerique et/ou vocal rentre sur un terminal 
(12) en connexion. 

17. Precede selon I'une des revendications 9 a 16, caracterise en ce que 
25 I'utilisateur (1) est guide automatiquement par I'intermediaire neutre (4) 

dans les differentes etapes du precede de transmission de la deuxieme 
partie de I'information confidentielle sur le premier (100) et/ou deuxieme 
(200) reseaux respectivement, de maniere coordonnee et eventuellement 
synchronise. 

30 

18. Precede selon I'une des revendications 1 a 17, caracterise en ce que 
I'utilisateur (1) est guide automatiquement par les differents acteurs (2, 3, 4) 
de la transaction dans les differentes etapes d'echanges d'informations sur 
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les premier (100) et/ou deuxieme (200) reseaux respectivement, de maniere 
coordonnee et eventuellement synchronisee. 

19. Procede selon Tune des revendications 1 a 18, caracterise en ce que 
5 I'intermediaire neutre (4) et/ou I'organisme (3) stocke(nt) en clair ou en 

crypte de maniere reversible les coordonnees de I'utilisateur (1). 

20. Procede selon Tune des revendications 1 a 19, caracterise en ce que 
I'intermediaire neutre (4) et/ou I'organisme (3) stocke(nt) en clair ou de 

10 maniere reversible la deuxieme partie complementaire de I'information 
confidentielle fournie par I'utilisateur (1) sur le reseau (200). 

21. Procede selon I'une des revendication 14 a 20, caracterise en ce que 
I'intermediaire neutre (4) et/ou I'organisme (3) stocke(nt) en clair ou de 

1 5 maniere reversible le code personnel transmis par I'utilisateur (1 ). 

22. Procede selon I'une des revendications 1 a 21 , caracterise en ce que 
I'intermediaire neutre (4) et/ou I'organisme (3) etablit un historique des 
transactions. 

20 

23. Procede selon la revendication 22, caracterise en ce que I'historique 
etabli par I'intermediaire neutre (4) et/ou I'organisme (3) est anonyme. 

24. Procede selon la revendication 23, caracterise en ce que I'anonymat de 
25 I'historique est assure par un codage non decryptable d'une combinaison 

des coordonnees de I'utilisateur (1) sur le deuxieme reseau (200) et de la 
deuxieme partie de I'information confidentielle transmise par I'utilisateur (1) 
a I'intermediaire neutre (4) sur le deuxieme reseau (200). 

30 25. Procede selon les revendications 14 a 24 caracterise en ce que le code 
personnel est stocke, eventuellement en combinaison avec les 
coordonnees de I'utilisateur sur le reseau (200) par un codage non 
decryptable. 
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26. Proc§d6 selon Tune des revendications 22 & 25, caract6ris6 en ce que 
rintermediaire neutre (4) emet un avis lie a I'historique de transaction de 
I'utilisateur (1) sur le r6seau (300). 

5 

27. Proc6de selon Tune des revendications 7 a 26, caracterise en ce que 
rintermediaire neutre (4) recontacte I'utilisateur (1) apres que ce dernier 
s'est deconnecte du premier r6seau (100), ladite connexion au premier 
reseau (100) etant retablie une fois que la deuxteme partie de 1'information 

10 confidentielle a ete transmise a rintermediaire neutre (4). 

28. Systeme de transmission s6curisee d f une information confidentielle, 
notamment un code d'identification, a un organisme d'authentification (3) 
lors d'une transaction, comportant des moyens chez un utilisateur (1) en 

15 transaction avec des moyens chez un organisme d'authentification (3) et/ou 
des moyens (21) chez un fournisseur (2) de produits ou services, et des 
moyens (41) chez un intermediate neutre (4), caracterise en ce que Ies 
moyens chez Tutilisateur (1) comporte des moyens (11) aptes & transmettre 
une premiere partie d'une information confidentielle aux moyens (21) chez 

20 le fournisseur (2) de produits ou services ou chez I'organisme (3) sur un 
premier reseau (100), Ies moyens chez Tutilisateur (1) comportant en outre 
des moyens (12) aptes a transmettre la deuxiSme partie complementaire de 
reformation confidentielle a des moyens (42) chez rintermediaire neutre (4) 
sur le deuxieme reseau (200), Ies moyens chez rintermediaire neutre (4) 

25 et/ou les moyens chez le fournisseur (2) comportant en outre des moyens 
(23, 43) aptes a transmettre la partie du code qu'ils ont regue vers des 
moyens (33) chez I'organisme d'authentification (3). 

29. Systeme selon la revendication 28, caracterise en ce que le premier 
30 (100) et le deuxieme (200) r§seaux sont disjoints. 
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30. Systeme selon la revendication 29, caracterise en ce que le premier 
(100) et le deuxieme (200) r6seaux utilisent des technologies et protocoles 
de communication differents. 

5 31 . Systeme selon I'une des revendications 28 a 30, caracterise en ce que 
les moyens de saisie (11) sur le premier reseau (100) sont independants 
des moyens de saisie (12) sur le deuxieme reseau (200). 

32. Systeme selon I'une des revendications 28 a 31 , caracterise en ce que 
10 I'organisme d'authentification (3), I'intermediaire neutre (4) et/ou le 

foumisseur (2) de produits ou services comportent des moyens aptes a 
generer ou gerer au moins un identifiant de session leur permettant 
d'echanger et/ou retrouver des informations sur la transaction et permettant 
a I'organisme (3) d'autorisation de reconstituer 1'information confidentielle 
15 emise par I'utilisateur (1) par les moyens de saisie (11, 12) sur les premier 
et deuxieme reseaux (100, 200). 

33. Systeme selon I'une des revendications 28 a 32, caracterise en ce que 
I'intermediaire neutre (4) comporte des moyens (42, 44) aptes a contacter 

20 automatiquement les moyens de saisie (12) de I'utilisateur (1) sur le 
deuxieme reseau (200) afin que I'utilisateur transmette la deuxieme partie 
du code confidentiel. 

34. Systeme selon I'une des revendications 28 a 33, caracterise en ce que 
25 I'intermediaire neutre (4) comporte des moyens aptes a generer des 

empreintes numeriques ou un cryptage unidirectionnel. 

35. Systeme selon I'une des revendications 28 a 34, caracterise en ce que 
le foumisseur de produits ou services comporte des moyens aptes a 

30 transferer la communication sur le premier reseau (100) entre les moyens 
de saisie (11) chez I'utilisateur connectes a des moyens formant serveur 
(21) chez le foumisseur vers des moyens formant serveur (41) chez 
I'intermediaire neutre (4), mettant ainsi automatiquement I'utilisateur (1) en 
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communication avec 1'intermediaire neutre (4) et permettant ainsi aux deux 
acteurs d'interagir. 

36. Systeme selon Tune des revendications 28 a 35, caracterise en ce que 
5 le foumisseur (2) de produits et services, I'organisme d'authentification (3) 
et 1'intermediaire neutre (4) comportent des moyens (23, 33, 43) permettant 
la transmission de donnees securisees point a point sur un troisieme reseau 
(300). 

10 37. Systeme selon Tune des revendications 28 a 36, caracterise en ce que 
1'intermediaire neutre (4) possede des moyens (41, 42, 43, 44) lui 
permettant de coordonner et/ou synchroniser les messages sur les reseaux 
(100, 200 et 300). 

15 38. Systeme selon I'une des revendications 28 a 37, caracterise en ce que 
1'intermediaire neutre (4) et/ou I'organisme (3) comporte(nt) des moyens 
(44) aptes a stacker les informations foumies par I'utilisateur (1) et des 
statistiques d'utilisation du systeme. 

20 39. Systeme selon I'une des revendications 28 a 38, caracterise en ce que 
1'intermediaire neutre (4) comporte des moyens (42) aptes a effectuer de la 
reconnaissance vocale et/ou de la synthese vocale. 

40. Systeme selon I'une des revendications 28 a 39, caracterise en ce que 
25 I'utilisateur (1) comporte des moyens (12) aptes a contactor 
automatiquement les moyens formant serveur (42, 44) de rintermediaire 
neutre (4) sur le deuxieme reseau (200) afin de transmettre la deuxieme 
partie du code confidence! . 

30 41. Systeme selon I'une des revendications 28 a 40, caracterise en ce que 
1'intermediaire neutre (4) comporte des moyens aptes a etre contactes par 
I'utilisateur (1) sur le deuxieme reseau (200) pour permettre la transmission 
de la deuxieme partie de I' information confidentielle. 
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42. Systeme selon Tune des revendications 28 a 41 , caracterise en ce que 
I'intermediaire neutre (4) et/ou I'organisme (3) comporte(nt) des moyens 
aptes a identifier I'utilisateur dans un historique grace au code confidentiel 

5 transmis lors de la transaction. 

43. Systeme selon Tune des revendications 28 a 42, caracterise en ce que 
de part sa position privilegiee, I'organisme d'authentification (3) comporte 
egalement les moyens de I'intermediaire neutre (4). 



10 
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